網絡安全加固建設匯總十篇
時間:2023-06-06 15:55:06
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全加固建設范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
美國國防部2013財年的信息技術預算需求大約為370億美元,比2012財年的預算略微減少。這些資金被投資到6000多個遍布全球的軍事基地,支持3個部、40多個局以及戰場上的獨特需求與任務。下面詳細介紹美軍2013財年信息技術和網絡安全建設的五大發展重點。
五大發展重點
從《美軍2013財年信息技術與網絡安全項目的預算需求》可以發現,美軍2013財年信息技術和網絡安全建設的重點放在聯合信息環境、數據中心、企業化服務、網絡安全和加固網絡等五個方面。
聯合信息環境
聯合信息環境是一個單一、安全、可靠、高效和靈活的指揮、控制、通信和計算機計劃,可被聯合部隊的任務合作伙伴在幾乎所有軍事行動、梯隊和環境中廣泛使用。美軍2013財年聯合信息環境建設的目標主要有兩個:一是使國防部更有效、更安全、更好地彌補弱點,更好地應對網絡威脅;二是簡化、集成信息系統,實現信息系統的標準化、自動化,減少國防部信息技術基礎設施的相關費用。
國防部的信息主管正在指揮著聯合信息環境相關計劃的實施,也同聯合參謀部、各軍種及國防部其他部門互相合作,以更快速地全面實現國防部信息技術現代化。國防部正在使用情報委員會的信息技術現代化手段來輔助聯合信息環境計劃。一個由來自國防部專家組成的小組正在構思實現途徑,制定實現計劃與項目時間表,并進行經費預算。在2013財年,美軍強調項目必須集成網絡安全,從操作系統的配置到系統進入控制,到全方位防御系統,到網絡入侵探測與診斷。
美軍將繼續通過國防信息系統局的Forge.mil與RACE軟件開發環境,以及通過與研發平臺匹配的集成測試與安全評估能力,加速平臺的研發、質量控制、網絡安全評估。
數據中心
美軍非常重視信息技術標準建設,目前國防部的信息主管在軍種與國防信息局的配合下為數據中心建立設計的標準,堅持非保密網絡、保密網絡、物理隔絕網絡、加密隔絕網絡都執行同樣標準。這種標準網絡建設,再加之更多的信息服務,使國防部數據中心的數量相應減少。
美軍2013財年重點將現有數據中心合并為三類數據中心:第一類為核心數據中心,用于國防部各部門都可以使用的信息服務與應用,以及用于國防部與工業部門、公眾交互的對外服務與應用;第二類為地區性數據中心,主要用于滿足終端用戶的信息服務與應用需求;第三類為部署在戰場前方的前方數據中心,此類數據中心很靈活,可以存放地區性與全局性的服務與信息,適合各種任務情況,速度更快,網絡可靠性更好。
這些數據中心的服務器將普遍高度虛擬化,這樣可以更靈活地加入新的信息服務,提供最大的使用效率。
企業化服務
目前,國防部的信息主管正在同五角大樓的高層領導一起合作,以確保對信息技術投資進行企業化管理,使一些信息中心靈活地交付信息能力與解決方案。
此外,在實施企業化方案的過程中,美軍也在不斷解決有時出現的框架結構等方面的問題。例如,國防信息主管辦公室為國防部起草了“云計算”戰略,并將與軍事部門、國防信息系統局以及其他部門與生產廠家一起合作來實施該戰略,以更好地優化未來的信息基礎設施與應用。
網絡安全
2013財年信息技術與網絡安全項目預算中,大約34億美元用于國防網絡安全,與2012財年基本相當,主要用以消除信息、信息系統與網絡已知的脆弱性,使國防部與國家更好地應對網絡威脅。
美軍2013財年制定了網絡安全工作的五個重要目標:第一個目標是當面對強敵發起網絡戰的時候,國防部信息基礎設施用戶,包括國防部的合作伙伴,擁有可靠的關鍵信息與信息基礎設施;第二個目標是確保與任務需要的任何伙伴之間實現快速、安全的信息共享,而且信息足夠豐富,對于執行任務是有效的;第三個目標是保護美軍重要、保密的信息;第四個目標是確保任務指揮官可以隨時進入網絡空間;第五個目標是確保國防部采用的技術具有靈活性。
重構國防部的網絡是聯合信息環境的核心支柱之一,以使國防部擁有一個統一的、滿足不同安全需求的聯合網絡體系。目前,美軍正在制定這種聯合信息環境要素的工程技術細節與體系結構細節。這將提供更加統一的網絡防御,并將使網絡司令部可以通過計算機掌握全局,防止黑客入侵在網絡中蔓延,提高聯合作戰的互操作性與相互依賴性。
加固網絡
加固網絡主要有以下內容。
可靠的兼容性評估解決方案美軍在2012年購買了一種名為“可靠的兼容性評估解決方案”的商業工具,使用這種工具可以掃描計算機的漏洞,然后做出報告并進行修復。這種工具正在進行最終測試,將于2013年夏天部署,預計各部門將在未來18個月部署與應用。
基于主機的安全系統
目前,美軍國防部在每一臺與非保密網絡、保密網絡連接的電腦上安裝“基于主機的安全系統”工具。這種工具可以發現并報告漏洞,防止某些類型的網絡入侵,探測到其他入侵并作出反應,提高了國防部網絡加固、態勢感知、網絡入侵探測、診斷與反應能力。2013財年申請的網絡安全資金繼續用于部署與保障新的“基于主機的安全系統”,以更好地加固計算機,提供持續自動監督計算機配置的能力,更好地改善國防部人員與設備身份管理能力。
公鑰基礎設施身份識別
美軍網絡加固工作的另一個關鍵部分是去除網絡匿名。美軍計劃在國防部非保密網絡中使用公鑰基礎設施身份識別,2012年美軍完成向50萬人公鑰基礎設施身份識別,2013年3月份美軍將使用這些身份證。這不僅可以幫助美軍改善信息使用責任制,也可以與政府各部門合作,使跨部門共享更加安全信息。
值得信任國防系統/供應鏈風險管理 美軍認識到盡管先進的商業技術可以為國防部帶來眾多好處,但是也為國外惡意分子通過插入惡意程序來獲取、改變數據,截取、阻止通信并危及供應鏈安全提供了機會。為了應對這些風險,國防部正在使值得信任國防系統/供應鏈風險管理制度化,同時國防部也正在與其他部門合作研究管理關鍵基礎設施中防范供應鏈風險的方法。
國防工業基地網絡安全與信息確保項目 由國防部信息主管監督的國防工業基地網絡安全與信息確保項目是國防部另一個重要成果。該項目為政府一工業部門的合作伙伴關系提供網絡安全方面的標準,也為網絡安全提供一種系統方法,包括政府間保密威脅信息的共享、工業部門數據的共享、搶救與修復策略的共享、網絡入侵損害評估。盡管不能徹底消除威脅,但是這一項目增強了每個國防工業基地參與者消除風險的能力,進一步保護了在國防工業基地保密網絡上存儲或傳輸信息的安全。
美軍在項目進程中積累的經驗
信息技術采辦的標準化為美軍節約大量經費
為了解決由于國防部“煙囪式”信息體系(“煙囪式”信息體系是指數據直接從各個數據源被直接抓取到目的地,中間不留任何縫隙)而產生的問題,美軍重點改革國防部3個核心過程:提需求、預算與采辦。
國防部信息主管辦公室與主管軍官的辦公室緊密合作制定一種靈活、快捷的采辦程序,美軍通過企業化軟件計劃,10年期間總共節省了30億美元。美軍的信息體系戰略與路線圖強調了將購買硬件、軟件與服務作為提高效率的主要手段。通過共享國防部中各個組織的購買協議,美軍大大減少了中介的數量,進一步優化、理順了信息技術采購過程。可以說,正是由于美軍注重信息技術與設備從需求、預算到采辦的全程合作與規范,才大大縮減了經費開支。
智能網絡入侵監測系統將提高美軍的網絡防御能力
美軍明確提出要通過“可靠的兼容性評估解決方案”、“基于主機的安全系統”等5項工作來提高其加固網絡、態勢感知、網絡入侵探測、診斷與反應能力。美軍計劃未來幾年逐步從“可靠的兼容性評估解決方案”與“基于主機的安全系統”來收集關于國防部每臺計算機的配置信息,并使用這些信息自動生成可供各級指揮官使用的任務風險數值。指揮官可以使用這些信息與風險數值來修復漏洞,更好地了解到底哪些任務存在漏洞。這些智能入侵監測系統的應用將會大大縮短美軍監測網絡入侵的時間,提高美軍應對網絡入侵的反應效率。
篇(2)
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
頻頻發生的信息安全事件正在日益引起全球的關注,列舉的近年來的網絡突發事件,不難發現,強化提升網絡安全風險評估意識、強化信息安全保障為當務之急。所謂風險評估,是指網絡安全防御中的一項重要技術,它的原理是,根據已知的安全漏洞知識庫,對目標可能存在的安全隱患進行逐項檢查。然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告,為提高網絡安全整體水平提供重要依據。完成一個信息安全系統的設計與實施并不足以代表該信息安全事務的完結。隨著新技術、新應用的不斷出現,以及所導致的信息技術環境的轉變,信息安全工作人員要不斷地評估當前的安全威脅,并不斷對當前系統中的安全性產生認知。
2 網絡安全風險評估的現狀
2.1 風險評估的必要性
有人說安全產品就是保障網絡安全的基礎,但有了安全產品,不等于用戶可以高枕無憂地應用網絡。產品是沒有生命的,需要人來管理與維護,這樣才能最大程度地發揮其效能。病毒和黑客可謂無孔不入,時時伺機進攻。這就更要求對安全產品及時升級,不斷完善,實時檢測,不斷補漏。網絡安全并不是僅僅依靠網絡安全產品就能解決的,它需要合適的安全體系和合理的安全產品組合,需要根據網絡及網絡用戶的情況和需求規劃、設計和實施一定的安全策略。通常,在一個企業中,對安全技術了如指掌的人員不多,大多技術人員停留在對安全產品的一般使用上,如果安全系統出現故障或者黑客攻擊引發網絡癱瘓,他們將束手無策。這時他們需要的是安全服務。而安全評估,便是安全服務的重要前期工作。網絡信息安全,需要不斷評估方可安全威脅。
2.2 安全評估的目標、原則及內容
安全評估的目標通常包括:確定可能對資產造成危害的威脅;通過對歷史資料和專家的經驗確定威脅實施的可能性;對可能受到威脅影響的資產確定其價值、敏感性和嚴重性,以及相應的級別,確定哪些資產是最重要的;準確了解企業網的網絡和系統安全現狀;明晰企業網的安全需求;制定網絡和系統的安全策略;制定網絡和系統的安全解決方案;指導企業網未來的建設和投入;通過項目實施和培訓,培養用戶自己的安全隊伍。而在安全評估中必須遵循以下原則:標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。
安全評估的內容包括專業安全評估服務和主機系統加固服務。專業安全評估服務對目標系統通過工具掃描和人工檢查,進行專業安全的技術評定,并根據評估結果提供評估報告。
目標系統主要是主流UNIX及NT系統,主流數據庫系統,以及主流的網絡設備。使用掃描工具對目標系統進行掃描,提供原始評估報告或由專業安全工程師提供人工分析報告。或是人工檢查安全配置檢查、安全機制檢查、入侵追查及事后取證等內容。而主機系統加固服務是根據專業安全評估結果,制定相應的系統加固方案,針對不同目標系統,通過打補丁、修改安全配置、增加安全機制等方法,合理進行安全性加強。
系統加固報告服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出加固報告。系統加固報告增強服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統加固報告,并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統加固實施服務選擇使用該服務包,必須以選擇 ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統加固報告,并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶,并由專業安全工程師實施加固工作。
3 網絡安全風險評估系統
討論安全評定的前提在于企業已經具有了較為完備的安全策略,這項工作主要檢測當前的安全策略是否被良好的執行,從而發現系統中的不安全因素。當前計算機世界應用的主流網絡協議是TCP/IP,而該協議族并沒有內置任何安全機制。這意味著基于網絡的應用程序必須被非常好的保護,網絡安全評定的主要目標就是為修補全部的安全問題提供指導。
評定網絡安全性的首要工作是了解網絡拓撲結構,拓撲描述文檔并不總能反映最新的網絡狀態,進行一些實際的檢測是非常必要的。最簡單的,可以通過Trackroute工具進行網絡拓撲發現,但是一些網絡節點可能會禁止Trackroute流量的通過。在了解了網絡拓撲之后,應該獲知所有計算機的網絡地址和機器名。對于可以訪問的計算機,還應該了解其正在運行的端口,這可以通過很多流行的端口發現工具實現。當對整個網絡的架構獲得了足夠的認知以后,就可以針對所運行的網絡協議和正在使用的端口發現網絡層面的安全脆弱點了。通常使用的方法是對協議和端口所存在的安全漏洞逐項進行測試。
安全領域的很多專家都提出邊界防御已經無法滿足今天的要求,為了提高安全防御的質量,除了在網絡邊界防范外部攻擊之外,還應該在網絡內部對各種訪問進行監控和管理。企業組織每天都會從信息應用環境中獲得大量的數據,包括系統日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險,是風險管理中重要一環。目前的技術手段主要被應用于信息的收集、識別和分析,也有很多廠商開發出了整合式的安全信息管理平臺,可以實現所有系統模塊的信息整合與聯動。
數據作為信息系統的核心價值,被直接攻擊和盜取數據將對用戶產生極大的危害。正因為如此,數據系統極易受到攻擊。對數據庫平臺來說,應該驗證是否能夠從遠程進行訪問,是否存在默認用戶名密碼,密碼的強度是否達到策略要求等。而除了數據庫平臺之外,數據管理機制也應該被仔細評估。不同級別的備份措施乃至完整的災難備份機制都應該進行有效的驗證,不但要檢驗其是否存在安全問題,還要確認其有效性。大部分數據管理產品都附帶了足夠的功能進行安全設定和數據驗證,利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權訪問某些應用,而這往往是獲得系統權限和數據的跳板。事實上大部分的安全漏洞都來自于應用層面,這使得應用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規程化的面向體系底層的安全評定相比,應用安全評定需要工作人員具有豐富的安全知識和堅實的技術技能。
4 結束語
目前我國信息系統安全風險評估工作,在測試數據采集和處理方面缺乏實用的技術和工具的支持,已經成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法,總結出一套適用于我國國情的信息安全效用評價體系,以保證信息安全風險評估結果準確可靠,可以為風險管理活動提供有價值的參考;加強我國信息安全風險評估隊伍建設,促使我國信息安全評估水平得到持續改進。
參考文獻:
[1] 陳曉蘇,朱國勝,肖道舉.TCP/IP協議族的安全架構[N].華中科技大學學報,2001,32-34.
[2] 賈穎禾.國務院信息化工作辦公室網絡與信息安全組.信息安全風險評估[J].網絡安全技術與應用,2004(7),21-24.
[3] 劉恒,信息安全風險評估挑戰[R],信息安全風險評估與信息安全保障體系建設研討會,2004.10.12.
[4] [美]Thomas A Wadlow.網絡安全實施方法.瀟湘工作室譯.北京:人民郵電出版社,2000.
[5] 張衛清,王以群.網絡安全與網絡安全文化[J].情報雜志,2006(1),40-45
篇(3)
1消防部隊計算機網絡的安全隱患
(1)人為因素方面存在的安全隱患
計算機網絡技術的普及應用給官兵日常工作帶來了極大的方便,只要用一臺電腦就可以進行日常辦公。然而,消防部隊官兵網絡安全意識淡薄,缺乏安全知識,或打開網頁瀏覽網絡信息后不能及時關閉網頁,導致重要信息泄露;或數字證書使用后不能及時從電腦上取下,埋下安全隱患;或使用U盤、移動硬盤等移動數碼存儲介質時沒有進行殺毒處理,極易導致系統感染病毒或造成系統信息泄露;或不注意對殺毒軟件進行更新、升級,無法保證殺毒軟件的監控功能和查殺功能。另外,消防部隊官兵大部分不屬于計算機專業,接觸計算機網絡項目少,缺乏網絡安全維護知識,對網絡安全防護操作不了解,在系統應用過程中容易出現一機兩用、信息泄密、感染病毒等現象。消防部隊官兵網絡系統安全意識淡薄、安全防護知識缺乏為消防部隊的網絡系統埋下了極大的安全隱患。
(2)網絡基礎設施建設以及技術方面存在的安全隱患
由于受投入資金的限制,消防部分的網絡信息化建設明顯不完善,尤其是調度指揮網的建設以及各種專用網的建設均無法滿足現實需求,即沒有做到專網專機專用,在網絡安全隔離方面也沒有設置網閘、硬件防火墻等安全防護設施,而且僅僅采用雙網卡接入方式實現部分網絡的接入,使網絡系統的安全性得不到保障。另外,部分網絡為了調試方便,幾乎在電腦硬件上不設置任何防護措施,使電腦端口呈開發狀態,這樣極易給一些不法人員以可乘之機嗎,對系統實施惡意攻擊,最終導致網絡系統癱瘓。在網絡安全防護技術應用方面,在安全防護技術方面的投入不足,殺毒軟件等安全防護軟件不能及時更新、升級,系統漏洞較多,容易受到攻擊及病毒感染,甚至造成不同網絡的病毒交叉感染,最終系統癱瘓。
(3)數據存儲存方面存在的安全隱患
隨著系統數量的不斷增加,數據的存儲問題越來越突出,如何保證數據的完整性、安全性使目前要解決的重要問題。導致系統數據丟失的因素有很多,網絡硬件故障、系統管理不善或者自然災害等情況均可以導致數據丟失。消防部隊網絡系統數據存儲存在的安全風險主要體現在以下幾個方面:①操作系統和數據庫系統的安全防護能力不高,當系統造成惡意攻擊時可導致系統崩潰,進而造成數據丟失;②系統的硬件由于兼容性的限制而無法實現數據的有效備份,一旦計算機硬盤發生故障即可導致存儲數據丟失;③系統數據缺乏完善的保密機制,導致數據泄露現象頻發。
2消防部隊計算機網絡安全隱患的應對策略
2.1加強硬件防護
硬件是實現信息化建設的基礎設施,是解決網絡安全問題的關鍵所在。首先要加強機房建設,健全機房設備,建立高效的、適用的供電系統、UPS系統、防雷系統等,機房交換機設備、路由器設備要保證具有較好的穩定性性和較高的運行速度,以確保網絡通信暢通。機房服務器的運行指標要滿足一定要求,保證服務器穩定、高效運行。網閘、硬件防火墻的等設備要符合公安要求,以便實現不同網絡之間的對接,這對保證網絡的安全運行非常重要。另外,在數據存儲方面,一定要加強移動存儲介質應用的管理,移動存儲介質在對接公安網時要進行殺毒,存儲介質在確定不含機密文件的情況下才能插入如聯網。網絡建設中各種硬件設備一旦發生故障要及時維修或者更換。
2.2加強軟件防護
消防部隊的網絡建設需要安裝正版的系統軟件,一方面保證系統的性能,另一方面保證系統的安全。在數據庫的管理和應用中,需要由專業的計算機網絡管理人員進行數據庫操作,在設計數據庫的過程中要考慮到各數據之間的關系,并正確配置,對數據庫的用戶數量進行一定限制,明確不同用戶的職責范圍和使用權限,對于一些機密數據要進行加密處理。為了保證數據的完整性和有效性,要做好數據庫數據備份工作,制定完善的數據備份策略。嚴格遵守軟件的開發要求,有必要時需要關閉影響網絡安全的服務,以確保系統的安全運行。加強網絡安全技術應用,安裝殺毒軟件,設置防火墻,定期檢查和修復系統漏洞,同時注意對殺毒軟件的更新。目前應用較廣泛的計算機網絡安全防范技術有加密技術、防火墻、病毒防護技術、入侵檢測技術等。①加密技術是進行網絡安全防護的核心技術,經過多樣的研究和開發,現代加密技術基本已經實現了數據保密性、數據完整性、數據真實性以及數據可控性的完美結合,在當前的網絡信息安全管理中發揮著重要作用。②防火墻是阻擋網絡外部風險的重要措施,是一種用于加強網絡之間安全訪問控制,阻止外部網絡用戶以非法手段進入內部網絡,是一種非常有效的安全策略。根據所采用技術的不同,防火墻可分為多個類型,包括過濾性防火墻、型防火墻、監測型防火墻等等。③病毒是網絡安全的最大隱患之一,采用有效的防病毒技術可以防止病毒對計算機系統造成破壞。當前的防病毒技術主要有病毒預防技術、病毒檢測技術以及病毒消除技術等。
2.3加強管理
(1)建立健全的網絡安全防范機制
其一,制定物理隔離相關規定,并加強執行力度,以消除一機兩用的現象;其二,規范網絡安全管理和維護,局域網內需安裝網絡版防病毒軟件以及其他安全防護軟件,并進行及時更新、升級,以便最大程度消除安全隱患。其三,針對網絡病毒制定有效的應急預案,以應對大規模的病毒發作,提高系統運行性能和應急能力。
(2)對主機本身進行安全加固
服務器是網絡系統中的關鍵部分,一定因為服務器問題引發安全問題或者導致系統癱瘓將會造成不可估量的損傷,所以網絡系統的安全防護必須要重視對服務器的管理,對重點服務器進行安全加固。服務器加固的方法有多種,常見的有增打補丁、或利用安全掃描技術對系統服務器進行掃描分析,以便找出系統中潛在的安全隱患,并及時消除。另外,對重要的、安全級別較高的系統建立應急預案,同時建立數據安全策略。
(3)制定詳細的管理措施
為了進一步加強安全管理,消防部隊應根據實際需求制定比較詳細的管理細節,同時對計算機系統進行安全風險評估,通過對系統的定期分析了解系統各個層次的安全狀況以及潛在的風險,信息安全評估內容包括物理安全、網絡安全、系統安全、軟件安全、數據安全、應用安全、管理安全等等多個方面,其中尤其要重視軟件的安全,詳細分析各種安全要素,以保證系統軟件的安全應用。
(4)制定完善的訪問控制策略
有效的控制訪問策略是提高系統安全抵抗能力,缺乏系統數據安全性的重要手段。網絡系統的安全控制管理一方面要建立認證系統,為確保系統數據信息的安全性必須要加強訪問權限管理。另一方面可以充分應用IP限制技術、或者與MAC綁定技術加強系統訪問控制管理。
(5)提高全員的安全意識,加強安全知識學習
隨著網絡系統的普及應用,提高安全意識是保證網絡系統安全性的關鍵所在。其一,必須要從思想上認識到網絡安全防護的重要性,杜絕使用未經殺毒處理、或者其他來歷不明的軟件,不隨便查看、閱讀、下載網絡上來歷不明的郵件或者文件;其二,用戶應增強安全防護意識,對計算機系統要設置密碼,不使用影響系統完全的服務,取消完全共享,并定期對系統和相關軟件進行殺毒,增打補丁。其三,對全體官兵進行網絡安全知識教育和普及,并落實網絡安全責任,培養高素質的計算機網絡安全維護人才。
3結論
網絡安全防護是一個比較復雜的、需要長期堅持的任務,隨著計算機技術的快速發展,計算機病毒、網絡攻擊等威脅系統安全的技術也不斷升級、更新,讓人防不慎防范。在網絡安全問題逐漸多樣化、復雜化的趨勢性,網絡安全防護也需要從多方面加強防護措施,建立多層次的、立體的防護體系,全方位維護網絡系統的安全。
作者:李哲強 單位:呼倫貝爾市公安消防支隊司令部
引用:
[1]唐鎮.基層消防部隊網絡和信息安全問題及管理對策[J].網絡安全技術與應用,2015.
[2]郭浩.當前消防部隊網絡信息安全問題及措施分析[J].信息安全與技術,2013.
篇(4)
1 風電企業信息網絡規劃和安全需求
1.1 風電企業信息網絡規劃
一般情況下,風電公司本部均設在遠離下屬風電場的城市中,下屬風電場只做為單純的生產單元,以國電云南新能源公司為例,本部設在昆明,在云南省擁有多個地州上的風電場,各項工作點多面廣、戰線長,為有效提高公司管理效率,已建成全省范圍安全可靠信息傳輸網絡。本部與各風電場通過ISP提供的專線連接,項目部、外地出差、臨時辦公機構也能通過INTERNET網以VPN方式聯入公司網絡,基本滿足公司日常管理和安全生產的需要。
圖1
1.2風電企業信息網絡安全需求分析
從圖1可以看出,一般現在風電場的網絡不僅要滿足管理的日常信息化需求,還要滿足于電網交換信息的需求,所以風電場的網絡安全任務就是要符合國家和集團的有關電力二次安全規定。嚴格執行“安全分區、網絡專用、橫向隔離、縱向認證”的要求,以防范對電網和風電場計算機監控系統及調度數據網絡的攻擊侵害及由此引起的電力系統事故,保障其安全、穩定、經濟運行。
2 風電企業信息網絡安全防護體系建設
2.1 網絡安全原則
根據國家電監辦安全[2012]157號文《關于印發風電、光伏和燃氣電廠二次系統安全防護技術規定(試行)的通知》的相關要求,風電場的網絡二次安全防護基本原則是以下幾點:
2.1.1 安全分區:按照《電力二次系統安全防護規定》,將發電廠基于計算機及網絡技術的業務系統劃分為生產控制大區和管理性,重點保護生產控制以及直接影響電力生產運行的系統。
2.1.2 網絡專用:電力調度數據網是與生產控制大區相連接的專用網絡,發電廠段的電力數據網應當在專用通道上使用獨立的網絡設備組網,物理上與發電廠其他管理網絡和外部公共信息網絡安全隔離。
2.1.3 橫向隔離:在生產控制大區域管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向隔離裝置。
2.1.4 縱向認證:發電廠生產控制大區與調度數據網的縱向連接處應設置經國家指定部門檢測認證的電力專用加密認證裝置,實現雙向身份認證、數據加密和訪問控制。
2.2 安全部署方案
風電場業務系統較為繁多,根據相關規定,我們對風電場的業務系統基本分區見表1:
根據劃分結果,我們針對不同的分區之間設定了防護方案,部署示意圖如圖2:
2.2.1生產控制大區與管理信息大區邊界安全防護:目前公司從生產控制大區內接出的數據只有風電場監控系統,部署了一套珠海鴻瑞生產的Hrwall-85M-II單比特百兆網閘,保證他們之間的數據是完全單向的由生產控制大區流向管理信息大區。
2.2.2控制區與非控制區邊界安全防護:在風電場監控系統與風功率預測系統、狀態監測系統等進行信息交換的網絡邊界處安裝了防火墻和符合電網規定的正方向隔離裝置。
2.2.3系統間的安全防護:風電場同屬控制區的各監控系統之間采用了具有訪問控制功能的防火墻進行邏輯隔離。
2.2.4縱向邊界防護:風電場生產控制大區系統與調度端系統之間采用了符合國家安全檢測認證的電力專用縱向加密認證裝置,并配有加密認證網關及相應設施,與調度段實現雙向身份認證、數據和訪問控制。
2.2.5與本部網絡邊界安全防護:風電場監控系統與生產廠家、公司SIS系統之間進行數據交換,均采用了符合國家和集團規定的單向單比特隔離網閘。同時禁止廠商以任何方式遠程直接接入風電場網絡。
2.3 防病毒措施
從某種意義上說,防止病毒對網絡的危害關系到整個系統的安全。防病毒軟件要求覆蓋所有服務器及客戶端。對關鍵服務器實時查毒,對于客戶端定期進行查毒,制定查毒策略,并備有查殺記錄。病毒防護是調度系統與網絡必須的安全措施。病毒的防護應該覆蓋所有生產控制大區和管理信息大區的主機與工作站。特別在風電場要建立獨立的防病毒中心,病毒特征碼要求必須以離線的方式及時更新。
2.4 其他安全防護措施
2.4.1 數據與系統備份。對風電場SIS系統和MIS系統等關鍵應用的數據與應用系統進行備份,確保數據損壞、系統崩潰情況下快速恢復數據與系統的可用性。
2.4.2 主機防護。主機安全防護主要的方式包括:安全配置、安全補丁、安全主機加固。
安全配置:通過合理地設置系統配置、服務、權限,減少安全弱點。禁止不必要的應用,作為調度業務系統的專用主機或者工作站, 嚴格管理系統及應用軟件的安裝與使用。
安全補丁:通過及時更新系統安全補丁,消除系統內核漏洞與后門。
主機加固:安裝主機加固軟件,強制進行權限分配,保證對系統的資源(包括數據與進程)的訪問符合定義的主機安全策略,防止主機權限被濫用。
3 建立健全安全管理的工作體系
安全防護工作涉及企業的建設、運行、檢修和信息化等多個部門,是跨專業的系統性工作,加強和規范管理是確實保障電力二次系統的重要措施,管理到位才能杜絕許多不安全事件的發生。因此建立健全安全管理的工作體系,第一是要建立完善的安全管理制度,第二是要明確各級的人員的安全職責。
參考文獻
篇(5)
網絡上的中國安全現狀
“中國已經是一個網絡大國,但大而不強。”在首都網絡安全日“企業級信息安全技術高峰論壇暨中關村信息安全產業聯盟移動計算工作組成立儀式”上,國家信息化專家咨詢委員會委員汪玉凱表示,網絡大而不強有四個標志:中國信息化排名不斷下降;寬帶建設比較落后;自主創新動力不足,關鍵技術受制于人;我國不同地區間“數字鴻溝”問題突出。
據權威機構統計的數據顯示,目前我國互聯網用戶已經超過6億,同時互聯網企業的數量和規模正迅猛增長。互聯網技術和應用帶來的海量數據爆發性增長后,其安全問題逐漸顯現,各類網絡攻擊、信息泄密、網絡謠言等網絡安全事件頻發。諸如中國人壽80萬頁保單泄露,如家和漢庭等多家商業酒店用戶信息泄露、圓通速遞快件單信息倒賣等信息泄露事件等;“套餐竊賊”竊取70萬用戶信息、“支付鬼手”木馬侵害手機支付安全、三星Galaxy S4出現高危短信欺詐漏洞、新型詐騙短信威脅移動安全、百度云盤手機版高危漏洞等等。
另一個在網絡安全行業鬧得沸沸揚揚的是OpenSSL漏洞。目前多數SSL加密網站都是用名為OpenSSL的開源軟件包,其漏洞也被業界稱之為“心臟出血”。今年4月9日上午,北京大學和清華大學某項網絡服務被檢測到存在“心臟出血”漏洞,同時也監測到來自北京聯通的一個IP針對這些服務進行漏洞探測。360首席運營官譚曉生說,黑客通過“心臟出血”漏洞竊取數據,以64K為單位,一個包一個包地偷。SSL標準包含一個心跳選項,允許SSL連接一端的電腦發出一條簡短的信息,確認另一端的電腦仍然在線,并獲取反饋。除了PC網站之外,移動互聯網同樣廣受其害。
與此同時,隨著“斯諾登事件”的曝光,來自網絡空間上的全球爭奪戰也在打響。美國等大國紛紛加強網絡防御,加大在網絡空間的部署,國家級網絡沖突的風險進一步增加。其次,西方國家頻繁啟動貿易保護安全壁壘,信息安全也成為中興、華為等企業進入歐美市場的主要爭論焦點。
今年正好是中國全面接入互聯網20周年,各有關部門和行業負責人都對互聯網20年現象進行了熱烈的討論,其中一個重要問題也是網絡安全。工業和信息化部軟件與集成電路促進中心主任邱善勤表示,目前我國關鍵信息系統主要面臨設備被控、數據被竊及業務被癱三類威脅。在美國“金剛”面前,我國的信息化應用系統幾乎是“裸奔”狀況。
隨著信息化和網絡化的快速推進,各類網絡安全事件的影響程度將逐步加大,經濟信息安全問題日益顯現,網絡安全保障需求也在快速增長。我們迫切需要重視網絡安全發展戰略,提升網絡安全的保障能力,建起一張堅固可靠可信的安全網絡。
建立全面的安全網絡
2014年紐約時報爆出美國國安局竊取了華為的產品源代碼和上千名客戶資料,其數據量之大讓人吃驚。盡管這些數據造成的損失目前還未有公開的進行統計,但是估計其對華為的后續商業活動必將造成極大的影響。同時通過這一竊密事件,更反映了當前我國企業的網絡安全存在極大的漏洞。
在現實生活中,企業因為安全和信息化建設的不同步,造成的安全漏洞比比皆是。據記者了解,目前不少單位已經要求在信息化系統建設時同步進行安全規劃與設計,但在隨后的詳細設計及開發環節就開始“分道揚鑣”,從而導致信息系統的安全性與最初的規劃設計風牛馬不相及,要不就是在市場上隨便找些安全產品補補“漏洞”,最終結果是安全規劃設計形同虛設。
今年成立的國家網絡安全和信息化領導小組提出“網絡安全與信息化是一體之雙翼”,將安全與信息化提到同等重要的高度上。那么在大型政企信息化建設工作中,如何有效落實“一體雙翼”,真正達到“安全”與“信息化”齊頭并進的效果?改變現狀的有效辦法是必須在詳細設計及開發環節也要保持“安全”與“業務”的同步,將安全與應用在代碼級實現接口,并建立緊密相關的聯動機制,從而迫使兩者同步推進。
同時,自主信息產業生態環境建設要圍繞國家安全需要。特別是在集成電路、核心電子元器件、基礎軟件等核心關鍵技術領域取得突破,推動關鍵信息技術產品的國產化替代,在關系國家安全的重點領域有序開展國產產品和設備的替代工作。
篇(6)
1基本情況
中國建材集團核心機房按照國家信息安全等級保護三級標準部署網絡及安全防護設備,網絡主干為雙鏈路結構,采用電信+聯通專線入網,具備冗余性,滿足業務高峰期需求,2臺網絡核心交換機構成雙機熱備,用于連接網絡邊界區域、服務器區域、樓層等各個區域。機房內,各區域之間部署防火墻進行訪問控制,網絡邊界部署防病毒網關、IPS入侵防御系統等安全設備對來自Internet的攻擊行為進行防護,服務器區域部署入侵檢測系統,核心交換機上部署網絡審計系統以及審計服務器,對網絡行為進行審計,辦公網絡部署上網行為管理,規避網絡違法違規風險,強化內網安全率。門戶網站及電子郵箱系統的安全防護體系按照中央企業網絡與信息安全防護標準進行設計和部署,并依據國資監管網規劃方案建設了一套專網專機分散部署的非信息系統。主要業務管理信息系統按照國家信息安全等級保護二級進行定級,重點信息系統達到國家信息安全等級保護三級管理標準,核心機房內獨立運行的信息系統全部滿足公安部對中央企業信息系統安全等級保護要求。同時定期組織內、外部專業技術力量開展信息安全檢查、信息系統安全測評、信息系統等級保護備案以及信息安全培訓工作,確保信息系統和門戶網站運行穩定,安全監控到位,杜絕發生安全責任事故。
2技術體系架構
中國建材集團嚴格按照《信息安全技術信息系統等級保護安全設計技術要求》和《信息安全技術信息系統安全等級保護基本要求》設計、采購和部署符合等級保護基本要求的安全產品,從安全計算環境、安全通信網絡、安全區域邊界、安全管理中心等方面構建起有效的安全技術保障體系。根據實際業務情況,將網絡劃分Internet接入區、DMZ區、辦公區、安全管理區、核心交換區、業務服務區共計6個安全區域,并根據業務系統的要求進行安全區域合理性劃分,各區域到核心交換機之間為獨立線路連接,數據處理系統以單機模式部署,同時按照安全風險和安全策略,具體從物理安全、網絡安全、主機安全、應用安全、數據安全進行信息安全控制。物理安全。核心機房依據國家標準GB50173-93《電子計算機機房設計規范》、GB2887-89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》,從環境安全、設備安全和媒體安全三個方面進行詳細設計,嚴格按照計算機等各種微機電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、電源質量、備用電力、振動、防漏、防火、防雷和接地等要求建設,以此保證計算機信息系統各種設備的物理環境安全,同時采用有效的區域監控、防盜報警系統,阻止非法用戶的各種臨近攻擊。網絡安全。網絡主干采用雙鏈路結構,考慮業務處理能力的數據流量,冗余空間充分滿足高峰期需要,并根據業務系統服務的重要次序定義帶寬分配的優先級。合理規劃路由,業務終端與業務服務器之間建立安全路徑保證網絡結構安全。網絡區域邊界之間部署防火墻安全設備,制定嚴格的安全策略實現內外網絡和內網不同信任域之間的隔離與訪問控制,服務器區域部署防病毒網關來攔截病毒、檢測病毒和殺毒,保護操作系統安全穩定。應用IPS入侵防御系統實時監控進出網段的所有操作行為從而防止針對網絡的惡意攻擊行為,同時以滿足國家等級保護二級標準要求,通過人工加固的方式對網絡安全設備進行配置加固,實現包括身份鑒別、訪問控制、安全審計等多個方面的安全技術要求。主機安全。部署防火墻、入侵檢測、防病毒網關和漏洞掃描等安全產品進行被動主機安全防護,同時根據國家信息安全等級保護二級標準,為系統信息交換的主客體分別加安全標記,制約了操作系統原有的自主訪問控制策略(DAC),達到了強制訪問控制(MAC),對服務器進行安全加固配置,進行資源監控、監測報警,避免服務器自身的安全漏洞被攻擊者利用,實現統一管理的主機安全防護。應用安全。應用網絡設備和安全設備自身審計功能,對設備管理日志、設備狀態日志、用戶登錄行為等進行審計。核心交換機上部署網絡審計系統和審計服務器,辦公網絡部署上網行為管理,對網絡系統中的網絡設備運行狀況、網絡流量等進行日志記錄,同時應用服務器不開放遠程協議端口號。系統全部采用正版WindowsServer2008和LinuxAS5操作系統并進行必要的安全配置、關閉非常用安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件(如WindowsNT下的LMHOST、SAM等)使用權限進行嚴格限制。加強口令字的使用,并定期給系統打補丁、系統內部的相互調用不對外公開,同時通過配備漏洞掃描系統,并有針對性地對網絡設備重新配置和升級。數據安全。數據庫系統全部購買有效授權,采取數據庫系統強口令、登錄失敗次數、操作超時等方式實現數據庫系統對身份鑒別、訪問控制要求,采用技術手段防止用戶否認其數據發送和接收行為,為數據收發雙方提供證據。應用系統針對數據存儲開發加密功能實現系統管理數據、鑒別信息和重要業務數據傳輸完整性和保密性。同時建立熱備和冷備結合的數據備份系統,保證在安全事件發生后及時有效地進行重要數據恢復。
篇(7)
引言
美國等發達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規模,但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1、電子商務的概念和特點
1)電子商務的概念:電子商務(ElectronicCommerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2、電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3、安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。
2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。
3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。新晨
4、結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
篇(8)
0引言
美國等發達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規模,但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1電子商務的概念和特點
1)電子商務的概念:電子商務(Electronic Commerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
4結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
篇(9)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)27-0037-03
Abstract: Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network (VPN) technology, security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project, enhance the efficiency of data transmission, and support the rapid creation of new security environment to meet the new application process requirements.
Key words: smart city; Xuzhou; network security; security
隨著信息技術的迅速發展,世界各地有競爭力的城市已迎來了數字向智慧城市邁進的大潮。智慧城市建設注重城市物理基礎設施與IT基礎設施之間進行完美結合,旨在改變政府、企業和市民交互的方式,提高明確性、效率、靈活性和響應速度,促進城市內外部信息產生、交流、釋放和傳遞向有序化、高效化發展,關注提高城市經濟和社會活動的綜合競爭力,越來越受到中國各個城市領導者的認同和肯定。
徐州市在“十二五”伊始,深刻認識到智慧徐州建設在提升綜合競爭力、加快轉變經濟發展方式、加強社會建設與管理,解決發展深層次問題等方面的重要作用,將“智慧徐州”建設納入了未來城市發展的戰略主題,希望通過智慧徐州建設,以信息資源整合、共享、利用為抓手,健全公共服務,增進民生幸福,科技創新驅動產業轉型升級,智能手段創新城市管理模式,采約建設實現信息基礎全面領先,為把我市建設成“同類城市中環境最為秀美、文化事業最為繁榮、富民強市最為協調的江南名城”提供有力支撐。
網絡系統作為智慧徐州信息資源樞紐工程及各部門接入的承載,需通過網絡系統進行數據傳輸,規劃一張合理的、高效的、安全的網絡系統能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩定、高速地運行。
1 網絡安全建設
由于智慧徐州信息資源樞紐工程的信息資源的高度集中,帶來的安全事件后果與風險也較傳統應用高出很多,因此在建設中安全系統建設將作為一項重要工作加以實施。網絡安全建設應包括以下幾方面:
1.1 安全的網絡結構
安全的網絡結構應該能夠滿足為了保證主要的網絡設備在進行業務處理時能夠有足夠的冗余空間,來滿足處理高峰業務時期帶來的需求;確保網絡各部分的帶寬能夠滿足高峰業務時期的需要;安全的訪問路徑則通過路由控制可以在終端與服務器之間建立;按照提出需求的業務的重要性進行排序來指定分配帶寬優先級別,如果網絡發生擁堵,則優先保護重要的主機;能夠繪制出當前網絡運行情況的拓撲結構圖;參考不同部門之間的工作職能和涉及相關信息的重要程度等因素,來劃分成不同的子網和網段,與此同時在以方便管理和控制的前提下,進行地址分配;重要網段部署不能處在網絡的邊界處而且不能與外部信息系統直接連接,應該采取安全的技術隔離手段將重要網段與其他網段進行必要的隔離。
1.2 訪問控制安全
當在網絡邊界對控制設備進行訪問時,能夠啟動訪問控制功能;對實現過濾信息內容的功能,并且能對應用層的各種網絡協議實現命令級的控制;能自動根據會話的狀態信息為傳輸的數據流提供較為明確的允許或者拒絕訪問的能力,將控制粒度設為端口級;能夠及時限制網絡的最大流量數和網絡的連接數量;當會話結束或非活躍狀態的會話處于一段時間后將終止網絡的連接;要采取有效的技術手段防止對重要的網段地址欺騙;能在遵守系統和用戶之間的訪問規則條件下,來決定用戶對受控系統進行資源的訪問是否被允許或拒絕,同時將單個用戶設置為控制粒度;具有撥號訪問權限的用戶數量受到限制。
在關鍵的位置部署網關設備是實現訪問控制安全的最有效途徑,政務網接入邊界安全網關:為內部區域提供邊界防護、訪問控制和攻擊過濾。
1.3 審計安全
安全審計方面應包括能夠對網絡系統中設備的用戶行為、網絡流量、運行狀況等進行相關的記錄;并且能夠分析所記錄的數據,生成相關的報表;為避免審計記錄受到未預期的修改、覆蓋或刪除等操作,應當安全保護審計記錄。通過防火墻可以實現網絡審計的功能。
網絡的審計安全主要內容有:為能夠有效記錄網絡設備、各區域服務器系統和安全設備等這些設備以及經過這些設備的所有訪問行為,應在這些設備上開啟相應的審計功能,由安全管理員定期對日志信息和活動狀態進行分析,并發現深層次的安全問題。
1.4 檢查邊界的完整性
為對私自聯到內部網絡的非授權設備行為進行安全檢查,邊界完整性檢查要求能夠準確定出其位置,并進行有效的阻斷。
實現邊界完整性檢查的相關技術:
1)制定嚴格的檢查策略,將服務器區域在網絡設備上劃分為具有獨立功能的VLAN,同時禁止除來自網絡入侵防御系統以外的其他VLAN的訪問;
2)為提升系統自身的安全訪問控制能力,應對安全加固服務器系統采取相應措施。
1.5 入侵防范
網絡的入侵防范應能在網絡邊界處監視到木馬后門攻擊、拒絕服務攻擊、IP碎片攻擊、端口掃描、強力攻擊、網絡蠕蟲攻擊和緩沖區溢出攻擊等攻擊行為。當攻擊行為被檢測到時,應能記錄攻擊的時間、源IP、目的和類型,如果發生較為嚴重的入侵事件,應及時提供警報信息。通過前置防火墻實現入侵防御的功能。
1.6 惡意代碼防范
在網絡邊界處檢測和清除惡意代碼,對惡意代碼數據庫的升級和系統檢測的更新等,是惡意代碼防范的范疇。目前,主要是通過網絡邊界的安全網關系統防病毒模塊來檢測和清除系統漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務類等一系列惡意代碼進行來實現惡意代碼防范的技術。
1.7 網絡設備的安全防護
網絡設備的安全防護要求能夠限制網絡設備管理員的登錄地址;在網絡設備用戶的標識唯一的伯伯下,要能鑒別出登錄用戶的身份;主要網絡設備對同一用戶進行身份時鑒別時,應當選擇幾種組合的鑒別技術來鑒別,避免只使用一種鑒別技術;鑒別身份的信息應不易被冒用,網絡口令應定期更換而且要有一定的復雜度,不易破解;當登錄失敗時,能自動采取限制登錄次數、結束會話和當網絡登錄連接超時自動退出等相應措施;當網絡設備被用戶遠程管理時,能夠有防止網絡傳輸過程的鑒別信息被竊聽的相關措施。
網絡設備安全防護的技術實現主要是通過提供網絡設備安全加固服務,根據前面的網絡結構分析,系統采用若干臺核心交換機、匯聚交換機和接入交換機,實現各個安全區域的連接。
對于網絡設備,應進行相應的安全加固:
1)將樓層接入交換機的接口安全特性開啟,并將MAC進行綁定。
2)關閉不必要的服務,包括關閉CDP、Finger服務、NTP服務、BOOTp服務(路由器適用)等。
3)登錄要求和帳號管理,包括采用enable secret設置密碼、采用認證、采用多用戶分權管理等。
4)SNMP協議設置和日志審計,包括設置SNMP讀寫密碼、更改SNMP協議端口、限制SNMP發起連接源地址、開啟日志審計功能。
5)其它安全要求,包括禁止從網絡啟動和自動從網絡下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查(路由器適用)等。
2 網絡安全防護
邊界防護:在智慧徐州信息資源樞紐工程的邊界設立一定的安全防護措施,具體到智慧徐州信息資源樞紐工程中邊界,就是在平臺的物理網絡之間,智慧徐州信息資源樞紐工程的產品和邊界安全防護技術主要采用交換機接入、前置防火墻及網閘。
區域防護:比邊界防護更小的范圍是區域防護,指在一個區域設立的安全防護措施,具體到智慧徐州信息資源樞紐工程中,區域是比較小的網段或者網絡,智慧徐州信息資源樞紐工程的區域防護技術和產品采用接入防火墻。
節點防護:節點防護主要是指系統健壯性的保護,查堵系統的漏洞,它已經具體到其中某一臺主機或服務器的防護措施,建議智慧徐州信息資源樞紐工程中的產品和節點防護技術都應采用病毒防范系統、信息安全檢查工具和網絡安全評估分析系統等。
3 網絡高可用
在智慧徐州信息資源樞紐工程網絡建設中,網絡設備本身以及設備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網絡的穩定性,在智慧徐州信息資源樞紐工程核心網絡部分,核心交換機、接入防火墻等設備全部采用冗余配置,包括引擎、交換網、電源等。所有的連接線路全部采用雙歸屬的方式,包括與電子政務局域網互聯,與服務器接入交換機互聯。在數據應用區,服務器通過雙網卡與服務器接入交換機互聯,保障了服務器連接的高可靠性。
4 數據安全
4.1 數據安全建設
數據的安全是整個安全建設中非常重要的一部分內容。數據的安全建設主要涉及數據的完整性、數據的保密性以及數據的備份和恢復。對于系統管理、鑒別信息和重要業務的相關數據在存儲過程中進行檢測,如檢測到數據完整性有錯誤時采取必要的恢復措施,并且能對這些數據采用加密措施,以保證數據傳輸的保密性。
對于資源共享平臺系統的數據安全及備份恢復要求如下:
1)對于鑒別信息數據存儲的保密性要求,均可以通過加強物理安全及網絡安全,并實施操作系統級數據庫加固的方式進行保護;
2)對于備份及恢復要求,配置了備份服務器和虛擬帶庫對各系統重要數據進行定期備份;
3)需要通過制定并嚴格執行備份與恢復管理制度和備份與恢復流程,加強各系統備份恢復能力。
4.2 數據安全加密傳輸(VPN)
針對數據傳輸的安全性,部分接入部門到智慧徐州信息資源樞紐工程的數據進行VPN加密傳輸。接入部門和平臺兩端之間運行IPSec 或SSL VPN協議,保證數據在傳輸過程中的端到端安全性。
4.3 數據交換過程的安全保障
平臺數據交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數據交換后不能抵賴等功能。
平臺業務系統在傳遞消息的過程中可以指定是否采用消息內容的校驗,校驗方法是由發送消息的業務系統提供消息的原始長度和根據某種約定的驗證碼生成規則(比如 MD5 校驗規則)生成的驗證碼。
4.4 數據交換接口安全設計
平臺提供的消息傳輸接口支持不同的安全標準。對于對安全性要求比較高的業務系統來說,在調用平臺的Web Service接口時使用HTTPS 協議,保證了傳輸層面的安全;而對于安全性不那么重要,只想通過很少的改動使用平臺功能的業務系統來說,可以簡單的通過HTTP方式調用平臺的Web Service接口進行消息的傳輸。
5 安全管理體系建設
在智慧徐州信息資源樞紐工程安全保障體系建設中,應該建立相應的安全管理體系,而不是僅靠技術手段來防范所有的安全隱患。安全建設的核心是安全管理。在安全策略的指導下,安全技術和安全產品的保障下,一個安全組織日常的安全保障工作才能簡明高效。
完整的安全管理體系主要包括:安全策略、安全組織和安全制度的建立。為了加強對客戶網絡的安全管理,確保重點設施的安全,應該加強安全管理體系的建設。
5.1 安全策略
安全策略是管理體系的核心,在對信息系統進行細致的調查、評估之后,結合智慧徐州信息資源樞紐工程的流程,制定出符合智慧徐州信息資源樞紐工程實際情況的安全策略體系。應包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。
安全方針是整個體系的主導,是安全策略體系基本結構的最高層,它指明了安全策略所要達到的最高安全目標及其管理和適用范圍。
在安全方針的指導下,主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責,明確了子策略的管理和實施要求,它是子策略的上層策略,子策略內容的制定和執行不能與主策略相違背。安全策略體系的最低層是子策略,也是用于指導組成安全保障體系的各項安全措施正確實施的指導方針。
5.2 安全組織
由于智慧徐州信息資源樞紐工程信息化程度非常高,信息安全對于整個智慧徐州信息資源樞紐工程系統的安全建設非常重要。因此,需要建立具有適當管理權的信息安全管理委員會來批準信息安全方針、分配安全職責并協調組織內部信息安全的實施。建立和組織外部安全專家的聯系,以跟蹤行業趨勢,監督安全標準和評估方法,并在處理安全事故時提供適當的聯絡渠道。
5.3 安全制度
智慧徐州信息資源樞紐工程對于安全性要求非常高,因此安全制度的建立要求也很嚴格。由管理層負責制定切實可行的日常安全保密制度、審計制度、機房管理、操作規程管理、系統管理等,明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內容、達到的目標等。
智慧徐州信息資源樞紐工程建成后,需要針對各系統制定完善的動作體系,保證系統的安全運行。
參考文獻:
[1] 吳小坤,吳信訓.智慧城市建設中的信息技術隱患與現實危機[J].科學發展,2013(10):50-54.
[2] 婁歡,竇孝晨,黃志華,等.智慧城市頂層設計的信息安全管理研究[J].中國管理信息化,2015(5):214-215.
篇(10)
一、前言
現代的通信技術發展飛速,網絡的普及改變了我們的生活方式和交流方式,成為我們與人聯系的主要途徑。但因為互聯網往是開放的,所以在網絡工程中還有著很多的安全問題,對我們的網絡環境造成影響。所以,研究網絡工程中的安全防護技術非常重要,下面就針對網絡工程中的安全防護盡心初步的分析。
二、網絡工程中容易出現的問題
1.黑客問題
黑客一詞源于英語中的hacker,是指利用網絡中的漏洞破壞他人的網絡和竊取他人資料的人,在黑客進行攻擊時,主要有兩種方式:破壞性攻擊、非破壞性攻擊。破壞性攻擊是指黑進電腦的系統中,達到自己盜竊信息的目的。非破壞性攻擊一般來說是妨礙電腦的正常運行,以妨礙為主要的破壞目的,但沒有盜竊他人電腦中的重要資料,阻止計算機正常服務和信息轟炸對電腦系統進行破壞。黑客會對我們的電腦安全產生很大的隱患。
2.計算機中病毒
計算機中毒顯現對網絡工程的安全有著很大的影響,而且計算機病毒具有破壞系統,傳染其他電腦的特點,計算機的病毒不是計算機自身產生的,而是病毒的編寫者將指令和程序植入到計算機的系統中,計算機病毒是認為制造的,它會嚴重影響計算機系統的正常工作,給用戶帶來很大的危害。計算機病毒具有破壞力強、傳播速度快而且不容易被發現,尤其是一些木馬病毒、震網、火焰等病毒,通過網絡進行傳播后,一旦被傳播,會對計算機內的資源造成毀壞,所以,計算機中毒是保證網絡安全的重要問題。
3.IP地址被盜IP地址被盜用也是我們網絡工程區安全中的問題之一,如果我們的IP地址被盜用,我們的計算機就無法正常的上網,使用網絡。在區域網絡中常常出現這種情況,用戶被告知IP地址已被占用,使我們無法進行網絡連接。這些IP地址的權限一般來說比較高,盜竊者會用不知名的信息來打擾用戶的使用,使我們的自身權益受到了嚴重的侵害,也對網絡的安全性造成了非常惡劣的影響。
4.垃圾郵件
現在的垃圾郵件讓我們的網絡安全受到了很多負擔,垃圾郵件就是那些不是用戶自愿接受的郵件,卻無法組織收到垃圾郵件。垃圾郵件會嚴重損害我們使用郵件時的效率。對我們的網絡造成不必要的負擔,也讓我們的網絡安全收到了很大的威脅,垃圾郵件會減慢我們系統的使用效率,也浪費了大量的網絡資源,如果垃圾郵件的數量過多還會危害整個網絡工程。
5.系統出錯
計算機系統出錯也會給我們的網絡工程安全帶來很大的影響。在計算機網絡工程中,網絡的管理體制還不是很周全,各個崗位的工作分類還不夠明確,在密碼方面和權限方面的管理還不是很充足,這些因素會讓我們的網絡安全收到來自外界的破壞,而且我們的方位意識還不夠完全,沒有辦法有效率的避免計算機系統出錯,所以計算機系統出現的問題越來越嚴重,導致系統無法正常的工作,最終對計算機網絡安全產生威脅,所以,增加網絡工程中安全防護技術十分重要
三、安全防護技術
1.設置防火墻
預防黑客最簡單的方法就是設置防火墻,設置防火墻來過濾不需要的信息是我們網絡工程中安全防護技術中最簡單有效的方法一。設置防火墻在計算機的外部網絡和局域網之間設置防火墻,網絡防火墻是一個連接計算機和網絡的軟件,基本互聯網安全機能有:防火墻、木馬入侵檢測、殺毒軟體、信息清理、數值加固等等。基本互聯網機能的建設就是互聯網工作一個有力的屏障,能高效防止黑客打擊、木馬打擊、無用消息散播以及機密文件被盜取。著重基本互聯網安全機能的投資,努力推進基本互聯網機能的建設。另外互聯網風險是即時發生和變換的,那些已經建成了基本互聯網機能的計算機,著重安全機能的提升和平時維修時特別重要的方式。
2.防病毒
著重互聯網安全的擴散,安裝防病毒軟件,比如360安全衛士,金山殺毒等,著重私密信息保護。人類是互聯網機能的締造者,并且人類也是互聯網安全中最主要的創造者,使用社會對互聯網安全檢舉,趁早找到互聯網發生的各種風險,另外能及時找到互互聯網中違法資料擴散的位置,及時查處,保護互聯網的純凈。
3.著重基本互聯網安全機能的建設
如果缺少對互諒網隱患的認知和了解,一些公司和部門在互聯網安全方面的重視度十分低,還未建成完整基本互聯網安全機能,這樣為互聯網安全設置了重大風險。我們要在計算機在攻擊前做到有效的識別,防止惡意攻擊的破壞。基本互聯網機能的建設有:防火墻、木馬入侵檢測、殺毒軟體、信息清理、數值加固等等。互聯網工作一個有力的屏障,能高效防止黑客打擊、木馬打擊、無用消息散播以及機密文件被盜取。著重基本互聯網安全機能的投資,努力推進基本互聯網機能的建設。另外互聯網風險是即時發生和變換的,那些已經建成了基本互聯網機能的計算機,著重安全機能的提升和平時維修時特別重要的方式。
4.拒絕接受垃圾郵件
拒絕接收垃圾郵件,就要先保護我們的郵件地址,避免隨便的使用郵箱地址到處登記,還可以用軟件進行管理,過濾垃圾郵件,設置拒接接受垃圾郵件。
5.加強風險防范意識
提升網絡安全的風險防范意識也不容小覷,在互聯網工程隱患預防的路途中,使用數值鎖住技能是特別正確的方式。要透過深化消息私密性管轄來確認計算機運營中的安全。在建設完美的互聯網安全機能的基底上實行互聯網的實名制梳理不僅可以高效提升自己消息的私密性,更可以更廣泛高能的特省互聯網的全面安全。另一方面,加深對私密用戶的的長期管轄和監理工作,能夠有效的控制號碼被盜。
參考文獻:
